Embed Size (px)
Citation preview
FortiGateアップグレード手順書
第 1.1版
Confidential and Proprietary
改訂履歴
発行年月 版 数 改版内容
2019/07/01 第 1.0版 初版発行
2020/01/22 第 1.1版 参照 URLを更新
i
目次
1. はじめに ............................................................................................................................................................... - 1 -
本マニュアルについて ............................................................................................... - 1 -
対応範囲 ..................................................................................................................... - 1 -
アップグレードの前に ............................................................................................... - 1 -
OSバージョンの確認方法について ........................................................................... - 2 -
2. アップグレードに関して .................................................................................................................................... - 3 -
アップグレードの事前準備 ........................................................................................ - 3 -
アップグレード対象 OSへのアップグレードパスの確認 ..................................... - 3 -
OSファイルの入手方法 ......................................................................................... - 5 -
事前バックアップファイルの取得 ......................................................................... - 7 -
アップグレードの概要 ............................................................................................... - 9 -
シングル構成のアップグレード概要 ...................................................................... - 9 -
冗長(HA)構成のアップグレード概要 ..................................................................... - 9 -
アップグレードの手順 ..............................................................................................- 11 -
シングル構成のアップグレード手順 .................................................................... - 11 -
HA構成のアップグレード手順について ............................................................. - 14 -
CLIによるアップグレード手順 ........................................................................... - 19 -
3. ダウングレードに関して ................................................................................................................................. - 23 -
ダウングレードの留意事項 ...................................................................................... - 23 -
ダウングレード方法 ................................................................................................. - 23 -
4. 参考資料 ............................................................................................................................................................ - 26 -
HAの選出方法について .......................................................................................... - 26 -
HAの選出基準(Active/Standbyの決定) ............................................................. - 26 -
HAの各選出項目概要 .......................................................................................... - 27 -
意図的にMASTERを ACTIVE状態にしたい場合 ...................................................... - 31 -
ACTIVE状態を SLAVE→MASTER機へ遷移させたい場合 ......................................... - 31 -
5. 各種コマンド ...................................................................................................................................................... - 32 -
機器を再起動する .................................................................................................... - 32 -
機器の電源を落とす ................................................................................................. - 32 -
機器を工場出荷時へ戻す .......................................................................................... - 32 -
ログディスクのフォーマット .................................................................................. - 33 -
稼働中の OSバージョンを確認する ........................................................................ - 33 -
ii
HAの状態を確認する .............................................................................................. - 33 -
HAの STANDBY側にアクセスする。 ...................................................................... - 33 -
PINGを実施する ...................................................................................................... - 34 -
ルーティングテーブルを表示する ........................................................................... - 34 -
DNS解決が出来ているか確認する ......................................................................... - 34 -
CPUおよびMEMORYの使用率を確認する ............................................................. - 34 -
手動アップデート .................................................................................................... - 34 -
- 1 -
1. はじめに
本マニュアルについて
本マニュアルは、FortiGateの OSバージョンのアップグレードを行うための各種操作方法に
ついて記載しています。
なお、本内容については事前の予告なく変更または公開を停止する場合がありますのであら
かじめご了承ください。
本マニュアルの無断での転用、二次配布は禁止となります。
対応範囲
本マニュアルでは、以下の OSについてのアップグレード手順を記載しております。
・FortiOS 5.2~FortiOS 6.0までのアップグレードおよびダウングレード手順
・各種コマンド、バックアップ取得方法
※最新の OSご提供状況については、こちらをご参考ください。
アップグレードの前に
OSのアップグレードを行う際は、必ずアップグレードするバージョンの Release Notes および
各種資料をお読みいただき、アップグレードをお客様自身の責任において実施してください。
各種資料は、以下の URLにて公開されております。
■Release Notes(Fortinet社公開資料)
https://docs.fortinet.com/product/fortigate/
■Information資料(NVC公開資料)
https://gold.nvc.co.jp/fortinet/OS/download/fgt/information/
- 2 -
OSバージョンの確認方法について
お使いいただいている FortiGateの OSバージョンについて以下のように判断します。
FortiGate Ver x.0 MR y Patch z
※”Ver.x.0”がメジャーバージョン、”MR y”がマイナーバージョン、”Patch z”が パッチバージ
ョンに該当します。
例) FortiGate Ver 5.0 MR 6 Patch 5 と表記されている場合、FortiOS 5.6.5 の事を示します。
FortiGate Ver 5.0 Patch 5 と表記されている場合、FortiOS 5.0.5 の事を示します。
- 3 -
2. アップグレードに関して
アップグレードの事前準備
FortiOSのアップグレードを行う際に、必要な情報は以下のとおりです。
(1) アップグレード対象 OSへのアップグレードパスの確認
(2) アップグレード対象の OSファイルの入手
(3) 事前バックアップファイルの取得
アップグレード対象 OSへのアップグレードパスの確認
Fortinet 社で公開されているアップグレードパスを確認します。
アップグレードパスとは、Fortinet社が推奨するアップグレード方法であり、対象の OSまで
いくつかステップを踏んでアップグレードすることにより、機能の引継ぎを最大限行いながら
アップグレードする方法となります。
アップグレードパスを経由せずに直接最新 OS等にあげてしまうと、トラブルの原因にもなり
ますので、必ずアップグレードパスを経由して OSのアップグレードを実施してください。
■FortiOS アップグレードパス(Fortinet社公開サイト)
https://docs.fortinet.com/upgrade-tool
アップグレードパスは以下の方法で確認します。
ご利用中の FortiGate機種を選択します。
ご利用中の FortiOSを選択します。
アップグレード対象の OSを
選択します。
- 4 -
表示されたアップグレードパスに従い、OSを用意します。
なお、このサイトは FortiOS 5.2.9以降の OSからのアップグレードパスを記載しております。
FortiOS 5.2.8 以前の OSをお使いの場合は、FortiOS 5.2.9 までアップグレード頂く必要があ
ります。
FortiOS 5.2.9までのアップグレードパスは以下の Information資料をご参考ください。
■Information資料(NVC公開資料)
https://gold.nvc.co.jp/fortinet/OS/download/fgt/information/
表示された順にアップグレー
ドを行います。
- 5 -
OSファイルの入手方法
弊社サポートサイトでご提供しております、OSファイルを入手します。
なお、OS ファイルをダウンロードする際にご購入いただいた際にお渡ししておりますサポート
証書に記載のアカウント・パスワードが必要となります。
また、必ず現在稼働中の OS も事前にダウンロードしておいてください。
万が一アップグレードに失敗した際のリカバリ用に必要となります。
以下、OSファイルの入手方法について示します。
(1) 以下の URLへアクセスします。
https://gold.nvc.co.jp/fortinet/OS/download/fgt
なお、一部の機種やシリーズにおいて、サイトがない場合や OSがない場合がございます。
その場合は、弊社サポート窓口([email protected])までご連絡ください。
ご利用いただいている FortiGate の
機種シリーズを選択します。
- 6 -
対象の機種をクリックすると、認証画面が表示されますので、サポート証書に記載のアカウン
トおよびパスワードを入力します。
その後、使用許諾契約書が表示されますので、内容をご確認いただき「同意する」を選択し
てください。その後、対象の OSをダウンロードしてください。
ご利用いただいている FortiGate の
機種を選択します。
- 7 -
事前バックアップファイルの取得
アップグレード実施前に必ずバックアップを取得してください。
アップグレードが正常に実施できなかった場合、切戻しを実施する際に必要となります。
■FortiOS 6.0 系のバックアップ取得方法
ダッシュボードの右上にある「(ログインユーザ名)▼」をクリックします。
「設定」にマウスを合わせ、ポップアップされる「バックアップ」をクリックします。
■FortiOS 5.6 系のバックアップ取得方法
ダッシュボードの右上にある「(ログインユーザ名)▼」をクリックします。
「設定」にマウスを合わせ、ポップアップされる「バックアップ」をクリックします。
- 8 -
■FortiOS 5.4 系のバックアップ取得方法
「ダッシュボード」のシステム情報から取得します。
■FortiOS 5.2 系のバックアップ取得方法
「システム > ダッシュボード > ステータス」のシステム情報ウィジェットから取得します。
- 9 -
アップグレードの概要
FortiGateのアップグレードには WebUI からのアップグレードと CLI からのアップグレードの 2
種類の方法がございます。
またアップグレードに際し、再起動が発生し、通信断が発生いたします。そのため、アップグ
レード時には通信断が許容される時間帯(業務時間外等)での実施をお勧めいたします。
通常、アップグレード時には WebUIから実施いただくことを推奨いたします。
次項で構成別のアップグレード手順概要を示します。
シングル構成のアップグレード概要
※※シングル構成の FortiGate をアップグレードする際、通信断が発生します。※※
以下に、アップグレードの手順概要を示します。
項番 手順概要 留意点
1 Configのバックアップ
2 通信ケーブルの抜線
3 WebUIからアップグレード アップグレードパスが複数ある場合は、
すべて経由します。
4 通信ケーブルの結線
5 稼動確認
冗長(HA)構成のアップグレード概要
冗長構成を組んだ FortiGate のアップグレード方法について記載します。
以下、混乱を避けるため、Master/Slave と Active/Standby といった表現で表記いたします。
用語 概要 備考
Master マスター機。1号機など。 主に主系とされる機器を示します。
Slave スレーブ機。2号機など。 主に従系とされる機器を示します。
Active アクティブ状態 メインで稼動している状態を示します。
Standby スタンバイ状態 バックアップで稼動している状態を示します。
- 10 -
冗長構成時にアップグレードを行う際の手順を以下に記載します。
なお、以下の手順は Master 機が Active状態を前提として記載しております。
項番 手順概要
1 Configのバックアップ
2 Slave 機の通信ケーブル抜線
3 Slave 機のマネジメントケーブル抜線
4 Slave 機の HA ケーブル抜線
5 Slave 機のアップグレードを実施(アップグレードパスに従い実施)
6 Master機の通信ケーブルを抜線
7 Slave 機の通信ケーブルを結線
8 Master機のマネジメントケーブル抜線
9 Slave 機のマネジメントケーブル結線
10 通信確認を実施
11 Master機のアップグレードを実施(アップグレードパスに従い実施)
12 Slave 機の HA ケーブル結線
13 HA ステータスの確認
14 Masterのマネジメントケーブル結線
15 Masterの通信ケーブル結線
16 (必要に応じて)HA の Active/Standby の切り替え実施
17 稼動確認
- 11 -
アップグレードの手順
この章では、FortiGate のアップグレード手順を記載いたします。
特に明記していない場合、WebUIからのアップグレード手順となります。
シングル構成のアップグレード手順
1. Config のバックアップ
Configのバックアップを行います。「2.1.3事前バックアップファイルの取得」を参考
にバックアップファイルを取得してください。
2. 通信ケーブルの抜線
通信ケーブルを抜線します。抜線せずにアップグレードすることも可能です。
3. WebUI からのアップグレード
WebUIへログインし、OSのアップグレードを行います。
■FortiOS 5.2 系
「システム > ダッシュボード > ステータス」画面の「システム情報」タブにある「ファームウェ
アバージョン」から、アップグレードを行います。
- 12 -
■FortiOS 5.4 系
「ダッシュボード」の「システム情報」タブにある「ファームウェアバージョン」からアップグレード
を行います。
■FortiOS 5.6系
「システム > ファームウェア」からアップグレードを行います。
- 13 -
■FortiOS 6.0系
「システム > ファームウェア」からアップグレードを行います。
OSをアップロードした直後から自動的に再起動が発生し、通信断が発生します。
4. 通信ケーブルを接続します。
ポートの結線・リンクアップの順番によって通信が意図しない経路へ向く可能性がありま
す。このため、すべてのポート結線後に、セッションクリアを行うことをお勧めします。
セッションクリアは次のコマンドで実施できます。
※コマンド実行時に、すべての通信がセッションクリアされ、通信断が発生します。
※SSH/WebUI 等のセッションも対象となります。
5. アップグレード前と後で通信に問題がないか確認します。
以上でシングル構成のアップグレードは完了です。アップグレードパスが複数ある場合は、各
手順を繰り返し実施し、目的の OSまで順番にアップグレードを行ってください。
FortiGate # diagnose sys session clear
- 14 -
HA構成のアップグレード手順について
※事前に、Masterが Active、Slaveが Standbyになっている事を確認してくださ
い。
1. Config のバックアップ
Configのバックアップを行います。「2.1.3事前バックアップファイルの取得」を参考
にバックアップファイルを取得してください。
※HA 構成でマネジメントポートを分けていない場合、Slave機の Config を取得できませ
ん。この場合 Slaveのアップグレードまでに直接 PC と FortiGate の Slave機を結線し
て、WebUI からバックアップを取得してください。
2. Slave機の通信ケーブルの抜線
Slave機の通信ケーブルを抜線します。
3. Slave機のマネジメントケーブルの抜線
Slave機の管理用ケーブルを抜線します。マネジメントポートと通信ポートが一緒の場合
や、マネジメントポートを設けていない場合は、スキップしてください。
4. Slave機の HA ケーブルの抜線
Slave機の HA ケーブルを抜線します。抜線後は Master のみの稼動状態となります。
また、この時点で Slave機にはいずれのポートも刺さっていない状態になります。
5. Slave機のアップグレード
PC と FortiGate を管理系のポートへ直接結線します。
WebUIへログインし、OSのアップグレードを行います。アップグレードパスが複数ある場
合は、同様の工程を繰り返してください。
6. Master 機の通信ケーブル抜線(※抜線時から通信断発生※)
Slave機が想定される OSまでアップグレードが完了し、問題がないことを確認できたら
Master側の通信ポートを抜線します。抜線後から通信断が発生します。
- 15 -
7. Slave機の通信ケーブル結線(※結線完了まで通信断発生※)
Slave機の通信ケーブルを接続します。すべての結線が完了するまで通信影響が発生
します。
ポートの結線・リンクアップの順番によって通信が意図しない経路へ向く可能性がありま
す。このため、すべてのポート結線後に、セッションクリアを行うことをお勧めします。
セッションクリアは次のコマンドで実施できます。
※コマンド実行時に、すべての通信がセッションクリアされ、通信断が発生します。
※SSH/WebUI 等のセッションも対象となります。
8. Master 機のマネジメントケーブル抜線
Master機の管理用ケーブルを抜線します。マネジメントポートと通信ポートが一緒の場
合や、マネジメントポートを設けていない場合は、スキップしてください。
9. Slave機のマネジメントケーブル結線
Slave機の管理用ケーブルを結線します。マネジメントポートと通信ポートが一緒の場合
や、マネジメントポートを設けていない場合は、スキップしてください。
10. 通信確認を実施
アップグレード前と同様に問題なく通信が出来ているか確認を行ってください。
もし、意図しない通信が発生、または通信が正常に行えない場合、お客様の判断で、切
戻しを実施してください。
※切戻しを行う場合は、Slave機のすべてのポートを抜線し、Master 機への切り戻しを
実施してください。その後、「3章 ダウングレードに関して」を参考に Slave機のダウング
レードを実施してください。
11. Master 機のアップグレード
PC と FortiGate を管理系のポートへ直接結線します。
WebUIへログインし、OSのアップグレードを行います。アップグレードパスが複数ある場
合は、同様の工程を繰り返してください。
FortiGate # diagnose sys session clear
- 16 -
12. Slave機の HA ケーブル結線
Slave機の HA ケーブルを結線します。正常に HA構成が完了するまで、Master機の通
信ケーブルを接続しないでください。
13. HA ステータスの確認
「in-sync」と表示されている場合、正常に HA構成が組めています。
「out-of-sync」と表示されている場合、同期中か正常に HA 構成が組めていない状態で
す。
「Master: (ホスト名) (シリアル番号)」と表示されているのが Active状態の機器、
「Slave : (ホスト名) (シリアル番号)」と表示されているのが Standby 状態の機器を表して
います。
この段階では、Master機が Standby状態、Slave機が Active状態になります。
14. Master 機のマネジメントケーブル結線
Master機の管理用ケーブルを結線します。マネジメントポートと通信ポートが一緒の場
合や、マネジメントポートを設けていない場合は、スキップしてください。
15. Master 機の通信ケーブル結線
Masterの通信ケーブルを結線します。
※Override 有効の場合、自動的に切戻りが発生し瞬断が発生します。
FGT-Master # get system ha status
HA Health Status: OK
(中略)
Configuration Status:
FGVM000000053202(updated 2 seconds ago): in-sync
FGVM00TM19002182(updated 1 seconds ago): in-sync
(中略)
Master: FGT-Slave , FGVM00TM19002182
Slave : FGT-Master , FGVM000000053202
- 17 -
16. (必要に応じて)HAの Active/Standby の切り替え実施
Master を Active、Slaveを Standbyに変更したい場合実施します。
(※瞬断が発生します。)
変更前に HA のステータス確認を行います。
※Master が Standby、Slaveが Active状態であることを確認。
Slave側のモニターポートを抜線します。(※瞬断発生)
※Master が Active、Slaveが Standbyに遷移したことを確認。
FGT-Master # get system ha status
HA Health Status: OK
(中略)
Configuration Status:
FGVM000000053202(updated 2 seconds ago): in-sync
FGVM00TM19002182(updated 1 seconds ago): in-sync
(中略)
Master: FGT-Slave , FGVM00TM19002182
Slave : FGT-Master , FGVM000000053202
FGT-Master # get system ha status
HA Health Status: OK
(中略)
Configuration Status:
FGVM000000053202(updated 2 seconds ago): in-sync
FGVM00TM19002182(updated 1 seconds ago): in-sync
(中略)
Master: FGT-Master , FGVM000000053202
Slave : FGT-Slave , FGVM00TM19002182
- 18 -
17. 稼動確認
アップグレード前と同様に問題なく通信が出来ているか確認を行ってください。
もし、意図しない通信が発生、または通信が正常に行えない場合、お客様の判断で、切
戻しを実施してください。
※切戻しを行う場合は、Master機、Slave機ともにダウングレードを実施する必要があり
ます。「3章 ダウングレードに関して」を参考にダウングレードを実施してください。
18. Slave機のマネジメントケーブル結線
Slave機の管理用ケーブルを結線します。マネジメントポートと通信ポートが一緒の場合
や、マネジメントポートを設けていない場合は、スキップしてください。
- 19 -
CLIによるアップグレード手順
CLI でアップグレードを行う場合、Configやユーザ名、パスワード等がすべて工場出荷状態と
なりますので、通常のアップグレードを行う場合は、CLIでのアップグレードは実施せず、
WebUI でのアップグレードを実施してください。
事前にアップグレード対象 OSで Configが作成・バックアップ取得が出来ており、リストアで
きる状態の場合、こちらのアップグレード方法がご利用いただけます。(なお、上記前提の場
合、WebUI からアップグレードパスを経由せずに直接アップグレードし、リストアを実施いただ
いても同様の結果となります。)
1. 以下のものを準備します。
PC(TeraTerm 等のターミナルソフト、TFTP Server ソフトがインストールされているもの)
LAN ケーブル
シリアルケーブル (FortiGate に付属)
アップグレード(またはダウングレード)する OSファイル
リストアする Config ファイル(事前にバックアップしたファイルをリストアする場合)
2. PC の設定
CLI によるアップグレードでは、TFTP サーバを利用してアップグレードを行います。
そのため、PC の IP アドレスの設定とターミナルソフトの設定が必要になります。
(1) PC の IP アドレスを設定します。(例:192.168.1.168/24)
(2) ターミナルソフトを起動して設定を以下の通りに設定します。
ボーレート:9600
データ :8 ビット
パリティ :なし
ストップ :1
フロー制御:なし
(3) TFTP Server ソフトを起動して、ファームウェアを保存してあるフォルダを指定
します。
3. ネットワークからの切り離し
FortiGate をネットワークから切り離します。(通信・マネジメント・HAすべて抜線)
- 20 -
4. CLI 接続
(1) PC と FortiGate のコンソールポートをシリアルケーブルで接続します。
(2) ターミナルソフトより FortiGate に CLI でアクセスします。
(3) ユーザ名・パスワードを入力してログインします。
5. OSのアップグレードを実施
(1) 現在のバージョンを get sys status コマンドで確認します。
# get system status
Version: FortiGate-200D v5.2.7,build0718,160328 (GA)
(2) execute reboot と入力し、リブートを行います。
※機器の再起動が発生するため、通信断が発生します。
(3) リブート後 「Press Any Key To Download Boot Image.」と表示されたら何かキーを
押します。
Enter G,F,B,Q,or H: と表示されるので G を入力します。
※機器によっては何かキーを押した後、G を押さず(4)へ移行するものもあります。
※次ページは、実際に CLI からアップグレードを行なったときの CLI 画面です。
- 21 -
FGT200D #execute reboot
This operation will reboot the system !
Do you want to continue? (y/n)y
The system is going down NOW !!
System is rebooting...
FGT200D #
Please stand by while rebooting the system.
Restarting system.
FortiGate-200D (18:47-05.08.2013)
Ver:04000006
Serial number:FG200D4613806675
RAM activation
CPU(00:000206a7 bfebfbff): MP initialization
CPU(02:000206a7 bfebfbff): MP initialization
Total RAM: 2048MB
Enabling cache...Done.
Scanning PCI bus...Done.
Allocating PCI resources...Done.
Enabling PCI resources...Done.
Zeroing IRQ settings...Done.
Verifying PIRQ tables...Done.
Boot up, boot device capacity: 15272MB.
Press any key to display configuration menu... ←ここで何かキーを押す
...
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[I]: Configuration and information.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.
Enter Selection [G]:
Enter G,F,B,I,Q,or H: ←G を入力する
- 22 -
(4) PC と FortiGate の指定されたインタフェースを LAN ケーブルで接続します。
(5) Enter tftp server address [192.168.1.168]: と表示されるので PC の IP アドレス
を入力します。
(例: Enter tftp server address [192.168.1.168]: 192.168.1.10)
(6) Enter local address [192.168.1.188]: と表示されるので FG の IP アドレスを入力
します。
(例: Enter local address [192.168.1.188]: 192.168.1.99)
(7) Enter firmware image file name [image.out]: と表示されるので Firmware のファイ
ル名を入力します。
(例: Enter firmware image file name [image.out]: FGT_200D-v5-build1011-
FORTINET.out)
(8) その後、Save as Default firmware/Backup firmware/Run image without
saving:[D/B/R]? と確認メッセージが表示されるので D キーを押します。
※モデルによっては”B”が表示されません。
(9) 再起動したのち、ログイン(User:admin, Password:なし)をしてバージョンの確認を
行います。
(10) 保存していたコンフィグまたは作成したコンフィグをリストアします。
(11) 実通信に問題が発生していないことを確認します。
アップグレードによる問題の有無を確認します。問題が発生した場合は設定等を見
直し、問題の修正または切り戻しを行います。
切り戻し方法は、ダウングレードを実行後に、バックアップした Config をリストアし
ます。
(12) アンチウィルス、IPS をご利用されている場合は、execute update-now コマンドに
より最新シグネチャのアップデートを実行します。シグネチャアップデート時には機
器に多少の負荷がかかります。
- 23 -
3. ダウングレードに関して
この章では切戻し発生時のダウングレード方法について記載します。
ダウングレードの留意事項
ダウングレードは基本的に非推奨の動作となるため想定外の事態が発生する可能性がござ
いますので、予めご承知おきください。
※想定どおりのダウングレード動作が出来ない場合、CLI 操作による工場出荷状態、または
OSの Bootフォーマットを実施頂く必要がございます。
ダウングレード方法
ダウングレードを実施する際は、WebUI で行う場合、アップグレード方法と同様となります。
OSダウングレードの際、ダウングレードに関する注意事項が表示されます。
■FortiOS 5.2 系
「システム > ダッシュボード > ステータス」画面の「システム情報」タブにある「ファームウェ
アバージョン」から、アップグレードを行います。
- 24 -
■FortiOS 5.4 系
「ダッシュボード」の「システム情報」タブにある「ファームウェアバージョン」からアップグレード
を行います。
■FortiOS 5.6 系
「システム > ファームウェア」からアップグレードを行います。
- 25 -
■FortiOS 6.0系
「システム > ファームウェア」からアップグレードを行います。
ダウングレードの際、アップグレードパスを考慮する必要はございません。
アップグレード前の OSを直接アップロードします。
ダウングレード実施後、コンフィグのリストアを行います。
なお、ディスク搭載モデルでディスクロギングを行っている場合、ログのフォーマット変更によ
り、ダウングレード後にログが見れなくなる可能性があります。
その場合は、ログディスクのフォーマットを実施してください。
■ディスク搭載モデルの場合(再起動が行われます)
※コマンド実施後、再起動が発生し、ログディスクの内容はすべて削除されます。
FortiGate # execute formatlogdisk
(中略)
Do you want to continue? (y/n) y
- 26 -
4. 参考資料
この章では、FortiGate に関する参考資料について記載いたします。
HAの選出方法について
FortiGateの HA選出方法には、2つのパターンがございます。
1. オーバライド無効の状態 (デフォルト値)
2. オーバライド有効の状態
この、オーバライド機能が有効な場合、常に Master 機が Active状態になるよう自動的に切
戻しを行う機能となります。(自動切戻しの際、瞬断が発生します。)
HAの選出基準(Active/Standbyの決定)
■オーバライド無効の場合
- 27 -
■オーバライド有効の場合
オーバライドの有効/無効の違いは、Active/Standby選出時の判断で稼働時間が優先され
るか、デバイスのプライオリティが優先されるかの違いになります。
(無効:稼働時間優先、有効:プライオリティ優先)
HAの各選出項目概要
HA選出項目の概要について記載します。
用語 確認コマンド
モニターポート show full system ha | grep "set monitor"
稼働時間(age) diagnose sys ha dump-by vcluster
プライオリティ show full system ha | grep "priority"
シリアル番号 get sys status | grep "Serial-Number"
⚫ モニターポート
デバイスが切り替わるトリガーとなるインタフェースを指定しています。
例えば「set monitor port1」となっていた場合、port1がリンクダウンした場合に HAが切
り替わりのトリガーとなります。複数設定されている場合は、UP数の多いほうが Active
になります。
上記の場合、「port1」と「port2」の 2つがモニターポートとして設定されています。
FortiGate # show full system ha | grep "set monitor"
set monitor "port1" "port2"
- 28 -
⚫ 稼働時間(age)
稼動時間を確認します。冗長構成が確立されている場合、Active側は常に 0 となり、
Standby側の機器と ageの差がどれだけあるか表示されます。
この差が 300秒以内の場合、HAのトリガーとはなりません。
なお、確認コマンドは OSによって異なる場合があります。
■FortiOS 5.2 系 確認コマンド:「diagnose sys ha dump-by all-vcluster」
※Age=1567秒(選出基準になる)
■FortiOS 5.4系 確認コマンド:「diagnose sys ha dump-by vcluster」
※Age=626秒(選出基準になる)
- 29 -
■FortiOS 5.6系 確認コマンド:「diagnose sys ha dump-by vcluster」
※Age=88秒(選出基準にならない)
■FortiOS 6.0 系 確認コマンド:「diagnose sys ha dump-by vcluster」
※Age=118秒(選出基準にならない)
- 30 -
⚫ プライオリティ
デバイスの優先度を指定します。値の大きいほうが優先されます。
⚫ シリアル番号
シリアル番号の値が大きいほうが優先されます。
FGT-Master # show full system ha | grep "priority"
set priority 200
FGT-Slave # show full system ha | grep "priority"
set priority 100
FGT-Master # get sys status | grep "Serial-Number"
Serial-Number: FGVM000000053202
FGT-Slave # get sys status | grep "Serial-Number"
Serial-Number: FGVM00TM19002182
- 31 -
意図的に Master を Active 状態にしたい場合
明示的に Masterを Active状態にしたい場合、Slave側に設定された Monitorポートを予
め抜線しておくことで、実現可能です。
これは、選出基準でモニターポートのリンクアップ数が最優先されるためです。
なお、この状態でモニターポートのリンクアップ数が Slave機よりも Master 機が少ない場合
切り替わりが発生しますのでご注意ください。
Active 状態を Slave→Master 機へ遷移させたい場合
オーバライドが無効の状態で、意図せず Slave機が Active状態となった場合、Slave機のモ
ニターポートを抜線する事で Master側が Active 状態に遷移することが可能です。
※切り替わり時に瞬断が発生します。
また、何度も切り替わりが頻発している場合、意図せず切戻りが発生する場合があります。
(繰り返しの切り替わりで稼働時間の差が 300秒以内の場合、プライオリティに従うため。)
Slave機を Activeにしておきたいのに Masterが Active状態になる場合は、Master 側のモ
ニターポートを抜線してください。
- 32 -
5. 各種コマンド
この章では、各種コマンドを記載しております。
機器を再起動する
FortiGate を再起動する場合に利用できます。
機器の電源を落とす
FortiGate をシャットダウンする場合に利用できます。
※「~ halted」と表示されれば電源を落とせる状態になります。
機器を工場出荷時へ戻す
※再起動が発生し、初期状態へ戻ります。
FortiGate を初期状態に戻す場合に利用できます。
FortiGate # execute reboot
This operation will reboot the system !
Do you want to continue? (y/n) n
FortiGate # execute shutdown
This operation will shutdown the system !
Do you want to continue? (y/n) y
The system is going down NOW !!
System is shutting down...
FortiGate #
The system is halted.
FortiGate # execute factoryreset
This operation will reset the system to factory default!
Do you want to continue? (y/n) y
- 33 -
ログディスクのフォーマット
※再起動が発生します。
ディスク搭載モデルの FortiGate でログを削除する場合に利用できます。
稼働中の OSバージョンを確認する
現在稼働中の OSバージョンを確認します。
HAの状態を確認する
HA の状態を確認できます。
HAの Standby 側にアクセスする。
HA 稼動中の Standby 側に機器にログインします。(番号が異なる場合があります。)
FortiGate # execute formatlogdisk
(中略)
Do you want to continue? (y/n) y
FortiGate # get sys status | grep "Version"
Version: FortiGate-VM64 v6.0.5,build0268,190507 (GA)
Release Version Information: GA
FortiGate # get system ha status
FortiGate # execute ha manage ?
<id> please input peer box index.
<0> Subsidary unit FGVM00TM19002182 ←Standby側の機器
FGT-Master # execute ha manage 0
FGT-Slave login:
- 34 -
Pingを実施する
疎通確認を行えます。
ルーティングテーブルを表示する
FortiGateのルーティングテーブルを表示できます。
DNS解決が出来ているか確認する
Ping のあて先を FQDNにすることで、名前解決が出来ているか確認できます。
CPUおよび Memoryの使用率を確認する
CPUおよび Memoryの使用率を確認できます。
CPU:「CPU states: x%」、Memory:「used (xx.x%)」の値を確認
手動アップデート
コマンド実行後、およそ 5分程度でアップデートされます。
FortiGate # execute ping 8.8.8.8
FortiGate # get router info routing-table all
FortiGate # execute ping www.nvc.co.jp
PING www.nvc.co.jp (150.60.155.99): 56 data bytes
FortiGate # get system performance status
FortiGate # execute update-now
